CVE-2016-10628
CVE-2016-10628
Em resumo
O selenium-wrapper baixa componentes de software por HTTP desencriptado em vez de usar HTTPS seguro, permitindo que atacantes na rede interceptem e substituam esses arquivos por versões maliciosas, potencialmente executando código prejudicial no seu computador.
Detalhe técnico
O selenium-wrapper busca recursos binários via HTTP desencriptado, permitindo ataques man-in-the-middle (MITM) onde um atacante posicionado na rede pode substituir binários legítimos por payloads maliciosos, resultando em execução remota de código durante instalação ou execução. A vulnerabilidade requer acesso à rede entre a vítima e a origem do download, mas nenhum bypass de autenticação.
Resumo gerado e traduzido por IA a partir da descrição oficial.
selenium-wrapper is a selenium server wrapper, including installation and chrome webdriver. selenium-wrapper downloads binary resources over HTTP, which leaves it vulnerable to MITM attacks. It may be possible to cause remote code execution (RCE) by swapping out the requested binary with an attacker controlled binary if the attacker is on the network or positioned in between the user and the remote server.
Produtos afetados
HackerOne · selenium-wrapper node moduleQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://nodesecurity.io/advisories/224